{"id":9844,"date":"2021-10-04T12:52:32","date_gmt":"2021-10-04T17:52:32","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=9844"},"modified":"2021-10-04T12:52:39","modified_gmt":"2021-10-04T17:52:39","slug":"finfisher-software-espia-mejora-su-arsenal-con-cuatro-niveles-de-ofuscacion","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/finfisher-software-espia-mejora-su-arsenal-con-cuatro-niveles-de-ofuscacion\/","title":{"rendered":"FinFisher: software esp\u00eda mejora su arsenal con cuatro niveles de ofuscaci\u00f3n"},"content":{"rendered":"\n

El spyware es capaz de recopilar archivos borrados, as\u00ed como captar se\u00f1ales de streaming en vivo, grabar datos y obtener acceso a la c\u00e1mara web y micr\u00f3fono del dispositivo infectado<\/em><\/p>\n\n\n\n

Los investigadores de Kaspersky presentaron una investigaci\u00f3n exhaustiva sobre todas las actualizaciones recientes introducidas en el software esp\u00eda FinSpy para Windows, Mac OS, Linux y sus instaladores. La investigaci\u00f3n, que tard\u00f3 ocho meses en completarse, descubri\u00f3 medidas de ofuscaci\u00f3n de cuatro capas y anti an\u00e1lisis avanzadas que los programadores del software esp\u00eda emplearon, as\u00ed como un kit de arranque UEFI para infectar a las v\u00edctimas. Estos hallazgos sugieren un gran \u00e9nfasis en medidas de defensa por evasi\u00f3n, lo que convierte a FinFisher en uno de los programas esp\u00edas m\u00e1s dif\u00edciles de detectar hasta la fecha.<\/strong><\/p>\n\n\n\n

FinFisher, tambi\u00e9n conocido como FinSpy o Wingbird, es una herramienta de vigilancia que Kaspersky ha estado rastreando desde 2011. Es capaz de recopilar varias credenciales, listados de archivos y archivos borrados, as\u00ed como diferentes documentos, se\u00f1ales de streaming<\/em> en vivo o grabar datos y obtener acceso a la c\u00e1mara web y micr\u00f3fono. Sus implantes en Windows se detectaron e investigaron varias veces hasta 2018, cuando FinFisher parec\u00eda haber desaparecido. <\/p>\n\n\n\n

Despu\u00e9s de esta fase, las soluciones de Kaspersky comenzaron a detectar instalaciones sospechosas de aplicaciones leg\u00edtimas como TeamViewer, VLC Media Player y WinRAR, que conten\u00edan c\u00f3digo malicioso, no asociado a alg\u00fan malware conocido. A partir de esto descubrieron un sitio web en birmano que conten\u00eda los instaladores infectados y muestras de FinFisher para Android, ayudando as\u00ed a identificar que estaban troyanizados con el mismo spyware. Este descubrimiento impuls\u00f3 a los investigadores de Kaspersky a indagar m\u00e1s sobre FinFisher.<\/p>\n\n\n\n

A diferencia de las versiones anteriores del software esp\u00eda, que conten\u00edan el troyano en la aplicaci\u00f3n infectada, las nuevas muestras est\u00e1n protegidas por dos componentes: un prevalidador no persistente y un posvalidador. El primero de estos componentes ejecuta varias comprobaciones de seguridad para garantizar que el dispositivo que est\u00e1 infectando no pertenezca a un investigador de seguridad. Solo cuando se aprueban las comprobaciones, el servidor proporciona el componente pos-validador; este componente garantiza que la v\u00edctima infectada sea la prevista. Es en este instante cuando el servidor ordena la implementaci\u00f3n de la plataforma troyana completa.<\/p>\n\n\n\n

FinFisher cuenta con cuatro ofuscadores complejos hechos a la medida. La funci\u00f3n principal de esta ofuscaci\u00f3n es ralentizar el an\u00e1lisis del software esp\u00eda. Adem\u00e1s de eso, el troyano tambi\u00e9n emplea formas peculiares de recopilar informaci\u00f3n. Por ejemplo, utiliza el modo de desarrollador en los navegadores para interceptar la protecci\u00f3n del tr\u00e1fico, a trav\u00e9s del protocolo HTTPS.<\/p>\n\n\n\n

\"\"

Ejemplo de propiedades de tareas programadas<\/em><\/figcaption><\/figure><\/div>\n\n\n\n

Los investigadores tambi\u00e9n descubrieron una muestra de FinFisher que reemplaza el cargador de arranque UEFI de Windows, un componente que inicia el sistema operativo despu\u00e9s de que se lanza el firmware, por uno malicioso. Esta forma de infecci\u00f3n permite a los atacantes instalar un bootkit sin la necesidad de eludir las comprobaciones de seguridad del firmware. Las infecciones UEFI son muy raras y generalmente dif\u00edciles de ejecutar, pues se destacan por su evasi\u00f3n y persistencia. Aunque, en este caso, los atacantes no infectan el firmware UEFI en s\u00ed, sino la siguiente etapa de arranque, el ataque es especialmente sigiloso, ya que el m\u00f3dulo malicioso se instala en una partici\u00f3n separada que puede controlar el proceso de arranque de la m\u00e1quina infectada.<\/p>\n\n\n\n

\u201cEl esfuerzo destinado a hacer que FinFisher sea inaccesible para los investigadores de seguridad es particularmente preocupante y bastante impresionante. Al parecer, los programadores enfocaron sus esfuerzos, tanto en las medidas de ofuscaci\u00f3n y anti an\u00e1lisis, as\u00ed como en el propio troyano. Como resultado, su capacidad para evadir cualquier detecci\u00f3n y an\u00e1lisis hace que este software esp\u00eda sea particularmente dif\u00edcil de rastrear y detectar. El hecho de que este spyware se despliegue con extrema precisi\u00f3n y sea pr\u00e1cticamente imposible de analizar, hace que sus v\u00edctimas sean especialmente vulnerables, resultando en que los expertos se enfrenten a un desaf\u00edo especial: tener que invertir una cantidad abrumadora de recursos para desenredar todas y cada una de las muestras. Amenazas complejas como FinFisher destacan la importancia de la cooperaci\u00f3n y el intercambio de conocimientos entre los investigadores de seguridad, as\u00ed como la inversi\u00f3n en nuevas soluciones de seguridad que tienen como objetivo combatir estas amenazas\u201d,<\/em> comenta Igor Kuznetsov, investigador principal de seguridad del Equipo de An\u00e1lisis e Investigaci\u00f3n Global de Kaspersky.<\/strong><\/p>\n\n\n\n

Para protegerse contra amenazas como FinFisher, Kaspersky recomienda:<\/strong><\/p>\n\n\n\n